Cookies是一种最常使用的客户端存储机制，Cookies由Netscape在1994年提出，用来为HTTP协议引入状态机制。

为了使基于Cookies的状态机制能够工作，Web服务器会在HTTP响应的Set-Cookie头中设置Cookie，保存用户身份、状态信息，而浏览器在下一次发送HTTP请求的时候，会把先前Web服务器设置的Cookie绑定在HTTP请求头中，发送回去。

由于每次HTTP请求都会重复的发送Cookies，所有Cookies不适合存放过大的数据，事实上，大部分浏览器对每个域名可设置Cookies的大小、都有严格限制，通常在数十个、几KB以内。

1. Cookies的Domain可以设置为IP地址，但是不能使用通配符，例如.0.1这样的Domain是非法的
2. Domain：域名至少包含两个点号。域设置为.gmem.cc的Cookie可以让gmem.cc域名下所有网站使用，例如blog.gmem.cc
3. Path：限制使用Cookie的网页目录，路径设置为/wp-admin/的Cookie可以让gmem.cc/wp-admin/下所有子URL对应的网页访问
4. Secure：可以限制Cookie只能通过加密连接（SSL）发送
5. Expires：可以限制Cookie的生存期，如果不设置，那么浏览器关闭后Cookie即消失

所谓源，是指由三元组：协议 + 域名 + 端口确定的唯一网络实体。

通过JavaScript可以修改当前页面的源，但是只能域名为当前域名的超级域名：

document.domain = "gmem.cc";

修改后，同源策略检查结果将受到影响。使用这种技术，可以让位于子域名中的多个网站方便的交互。

原则：

1. 通常允许跨域执行写操作：例如链接、重定向、表单提交
2. 通常允许跨域资源嵌入
3. 通常不允许跨域读操作：例如Ajax请求

其中第一条，为CSRF（跨站请求伪造，Cross-site request forgery）埋下隐患。攻击者可能引导用户访问一个恶意站点，而此恶意站点包含了修改敏感信息的表单，此表单自动跨源发送，伪造用户身份篡改信息。可以使用不可测的CSRF标记来防止跨域写。

第二条，可以嵌入的资源包括：

1. script标签
2. link标签，嵌入css。CSS的跨域需要一个设置正确的Content-Type消息头
3. img标签
4. video、audio标签
5. object、embed、applet插件
6. @font-face引入的字体。某些浏览器要求同源字体
7. frame、iframe。站点可以使用

   X-Frame-Options

    头禁止这类资源嵌入

你可以使用CORS、JsonP等技术允许来进行跨源的资源共享。

JsonP即JSON with Padding，其实与JSON没有直接关系，是一种跨站资源共享的方式。

由于浏览器的同源策略，blog.gmem.cc一般是无法与诸如soulspark.im之类的其它网站进行通信的，但是HTTP的

<script>

假设blog.gmem.cc/postinfo/{postid}提供一个获取文章信息的RESTful服务，其返回值是text/json格式，示例如下：

{
    "post_author" : "alex",
    "post_title"  : "HTTP协议知识集锦"
}

 那么soulspark.im的某个页面如何才能访问并获取某篇文章的信息呢？

如果直接使用Ajax请求访问，同源策略可能导致访问被禁止，那么如果使用

<script>

要支持JsonP，blog.gmem.cc必须改造postinfo服务，允许其传入一个“Padding”参数，该参数由调用者soulspark.im指定，通常是一个JavaScript函数的名称，改造后的postinfo服务的URL示例为：

blog.gmem.cc/postinfo/{postid}?jsonp=decodePost

//decodePost即所谓Padding，由客户端提供的简短字符串，通常就是所谓“回调函数”
decodePost(
    {
        "post_author" : "alex",
        "post_title"  : "HTTP协议知识集锦"
    }
);

这样，soulspark.im就可以调用decodePost()，从而获取文章的信息了。

需要注意的时，

<script>

JsonP允许远端Web服务注入任意JavaScript代码，因此具有很大的安全性风险，如果远端服务器具有安全缺陷，或者响应内容在网络上被篡改，将导致本地Web页面受到威胁。

CORS，即Cross-origin resource sharing（跨来源资源共享）是一份浏览器技术规范。相比起JsonP，它有如下优势：

1. 支持除了GET以外的其它HTTP请求方法
2. 支持使用一般的Ajax（XMLHttpRequest、Fetch）直接获取资源
3. 支持跨源使用Webfont、WebGL贴图、样式表、脚本

所谓跨源，指发起请求的那个网页所在的源（协议 + 域名 + 端口），与请求的目标网页的源不一致。

大部分现代浏览器，包括IE 8+，均支持CORS。

要支持CORS，服务器端必须设置

Access-Control-Allow-Origin

headers.setdefault('Access-Control-Allow-Origin', '*')
"""
上述配置允许任何其它的Domain向服务器发起请求。
把*换成http://soulspark.im，则仅仅允许soulspark.im发起请求
"""

如果服务器不进行设置，客户端在尝试CORS访问时将会报错。 

与CORS有关的响应头包括：

Origin

在浏览器中，Origin头会在需要时，自动的被浏览器设置，JavaScript代码无法干预。因此CORS依赖浏览器的正确行为来工作。

发送CORS的Ajax请求时要想带着Cookie，不但需要服务器同意，客户端也要显式的指定：

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;  // 附带Cookie

启用上述设置时，Access-Control-Allow-Origin不允许指定为*，同时Cookie仍然受到同源策略的限制。

由于CORS依赖于浏览器的行为，因此服务器不能对客户端做假设。

The post HTTP知识集锦 appeared first on 绿色记忆.